Меню
Главная
Авторизация/Регистрация
 
Главная arrow Информатика arrow Анализ актуальных киберугроз

Угрозы воздействия на структуру веб-сайта, находящегося на вычислительной системе, использующейся как веб - сервер

SQL - инъекции

SQL (structured query language -- «язык структурированных запросов») -- формальный непроцедурный язык программирования, применяемый для создания, модификации и управления данными в произвольной реляционной базе данных, управляемой соответствующей системой управления базами данных (СУБД). Программная компонента веб-сервера - это графический пользовательский интерфейс и реляционная база данных.

Сайт, или веб-ресурс, программная компонента веб-сервера, это программа, в большинстве случаев написанная с условием использования баз данных, где хранится вся информация о зарегистрированных пользователях и об их паролях. При помощи SQL-запроса можно внедрить произвольный SQL-код, который сервер обработает и выдаст ответ.

Принцип работы такого механизма следующий: SQL-сервер выдаст ответ на ваш вопрос, а делать вы с ним можете все что угодно. Можете как-то модифицировать эту информацию, посчитать или банально вывести на экран браузера.

Теперь вернемся к SQL Injection, как мы уже знаем, это внедрение произвольного кода в SQL-запрос. То есть уязвимость существует тогда, когда злоумышленник может внедрить свой выполняемый код.

Пользователь обращается на веб-сервер компании А для того, чтобы получить графическую информацию.

В схематичном упрощенном виде данный запрос может быть представлен таким образом: "Я хочу получить доступ к графической информации", но в данный процесс вмешивается злоумышленник, который произвел SQL-атаку и теперь запрос преобразовался в: "Мне хотелось бы обеспечить себя доступом к графической составляющей $ИЛИ к учетным данным каждого пользователя, который зарегистрирован на данном конкретном веб-сервере”

С точки зрения языка SQL это запрос можно интерпретировать как:

SELECT информация FROM компания-А WHERE (тип=”графическая”) OR (тип=”логины” AND тип=”пароли”) LIMIT 1.

Отметим, что в процессе обработки подобного запроса любой веб-сервер в ответном сообщении приведет ссылку на базу данных, содержащую все релевантные учетные данные [3].

Графически схема атак, которые производятся посредством метода SQL-инъекции представлена на Рисунке 10.

Алгоритм атак с использованием SQL - инъекций

Рисунок 10 - Алгоритм атак с использованием SQL - инъекций

Далее, считаем целесообразным рассмотреть PHP-инъекции.

 
Если Вы заметили ошибку в тексте выделите слово и нажмите Shift + Enter
< Предыдущая   СОДЕРЖАНИЕ   Следующая >
 
Предметы
Агропромышленность
Банковское дело
БЖД
Бухучет и аудит
География
Документоведение
Естествознание
Журналистика
Информатика
История
Культурология
Литература
Логика
Логистика
Маркетинг
Математика, химия, физика
Медицина
Менеджмент
Недвижимость
Педагогика
Политология
Право
Психология
Религиоведение
Социология
Статистика
Страховое дело
Техника
Товароведение
Туризм
Философия
Финансы
Экология
Экономика
Этика и эстетика
Прочее